Fragen und Antworten

Datenschutz im Smart Building

26.09.2015
Von 
Der Datenschutzexperte Dr. Christoph Ritzer ist Rechtsanwalt und Of Counsel der internationalen Wirtschaftskanzlei Norton Rose Fulbright in Frankfurt. Er ist seit vielen Jahren auf das Datenschutz- und IT-Recht spezialisiert.
Heizung, Licht oder Küchengeräte von unterwegs ein- und ausschalten oder den Fahrstuhl im Bürogebäude automatisch in die richtige Etage fahren lassen: Intelligente Gebäudetechnik vereinfacht vieles. Doch ist alles, was möglich ist, auch erlaubt?
  • In Privathaushalten spielt der Datenschutz zumeist keine Rolle - das deutsche Gesetz nimmt die Datenerhebung und Speicherung für "persönliche und familiäre Tätigkeiten" ausdrücklich aus seinem Anwendungsbereich aus.
  • Anders ist dies bei Büro- und Zweckgebäuden. Dort ist in der Regel jede Datenerhebung rechtfertigungsbedürftig.
  • Mögliche Risiken des intelligenten Bürogebäudes: Verletzung von Datenschutzvorschriften, Gefahr von Datenverlust, Gefahr durch Angriffe Dritter.

Besonders aus datenschutzrechtlicher Sicht werfen Smart Buildings viele Fragen auf: Welche Daten werden gespeichert? Wer speichert sie oder wo werden sie gespeichert? Wer ist verantwortlich für Speicherung und Löschung? Unsere FAQ geben Antworten.

Welche Daten kann ein Gebäude speichern?

Dies hängt maßgeblich davon ab, welche technischen Geräte verbaut sind und in welchen Bereichen diese eingesetzt werden. In Privathaushalten werden in der Regel ganz andere Daten erhoben und gespeichert als in Büro- und Zweckgebäuden.

Im intelligenten Gebäude fallen verschiedenste Daten an.
Im intelligenten Gebäude fallen verschiedenste Daten an.
Foto: Qivicon

In modernen Privathaushalten werden meist Verbrauchsdaten gespeichert, beispielsweise für Warmwasser und Strom. Auch können zeitliche Gewohnheiten der Bewohner gespeichert werden, von den Anwesenheitszeiten über Zeitpunkte, in denen das Haus betreten und verlassen wird. Wird eine Videoüberwachung installiert, kommt auch das gespeicherte Videomaterial hinzu. Das gesamte Haus wird in der Regel durch ein WLAN verbunden sein, welches die drahtlose Steuerung ermöglicht. Dies ermöglicht darüber hinaus eine Verknüpfung mit dem Internet, insbesondere auch mit weiteren Daten aus dem Nutzungsverhalten an Computern und sonstigen mobilen Geräten.

Andere Möglichkeiten zur Speicherung und Verwendung von Daten bieten sich in Büro- und Zweckgebäuden. Beispielsweise werden in großen Bürogebäuden die Fahrstühle regelmäßig über Code-Karten gesteuert. Neben der Programmierung auf die jeweilige Etage können daneben auch die Zeitpunkte der Nutzung eines Fahrstuhls gespeichert werden. Unklar ist oft, wer diese Daten speichert, wer Zugriff hat und wie lange diese gespeichert werden. Oftmals werden auch zentrale Bereiche eines solchen Gebäudes videoüberwacht. Auch in Bürogebäuden besteht zumeist ein firmeneigenes WLAN.

Diese, und noch viele weitere Arten von Daten, lassen sich zu Benutzerprofilen verknüpfen. Darüber hinaus werden Unternehmen durch die fortschreitende Technologie Lebensgewohnheiten oder Arbeitnehmerdaten sammeln und diese potentiell zur Kontrolle oder Optimierung der Arbeitsweise nutzen können.

Welche rechtlichen Rahmenbedingungen gelten?

In Deutschland wird die Europäische Datenschutzrichtlinie hauptsächlich durch das Bundesdatenschutzgesetz (BDSG) umgesetzt. Spezielle Regelungen für Datenerhebung und -speicherung in Gebäuden sind dort nicht vorgesehen. Es gilt also der allgemeine Grundsatz, dass die verantwortliche Stelle entweder eine Einwilligung des Betroffenen benötigt oder aber eine gesetzliche Erlaubnis.

In Privathaushalten ist dies jedoch meist kein Thema. Das BDSG nimmt die Datenerhebung und Speicherung für "persönliche und familiäre Tätigkeiten" ausdrücklich aus seinem Anwendungsbereich aus. Wer also privat die Wohnung mit Video überwacht oder Bewegungsprofile der Familienmitglieder sammelt, um damit das Licht oder die Heizung zu steuern, muss sich wegen des Datenschutzes grundsätzlich keine Sorgen machen.

Anders ist dies bei Büro- und Zweckgebäuden. Dort ist in der Regel jede Datenerhebung rechtfertigungsbedürftig. Speichert der Arbeitgeber in einem Gebäude Daten seiner Mitarbeiter darf er dies tun, wenn dies der Durchführung des Beschäftigungsverhältnisses dient. So ist die automatische Zeiterfassung der Mitarbeiter über Drehkreuze oder anderes zulässig. Solche technischen Anlagen sind aber meist mit dem Betriebsrat abzustimmen, soweit es einen gibt.

Bei Kunden oder anderen Betroffenen ist eine Datenerhebung ohne Einwilligung zulässig, wenn dies dem Vertragsverhältnis mit dem Betroffenen dient oder die verantwortliche Stelle ein überwiegendes Interesse an einer solchen Erhebung von Daten hat. Wenn also künftig das Smartphone automatisch die Hotelzimmer-Türe entriegeln kann, so ist dies für die Erfüllung des Vertrags mit dem Hotel erforderlich. Das Hotel darf also die hierfür erforderlichen Daten des Gastes auch ohne dessen Einwilligung erheben. Fällt dieser Zweck aber später weg, sind diese Daten wieder zu löschen.

Sollen Daten durch externe Dienstleister erhoben oder verarbeitet werden, empfiehlt es sich diese als sogenannte Auftragsdatenverarbeiter einzuschalten. In einer speziellen schriftlichen Vereinbarung mit dem Dienstleister müssen diverse formelle Voraussetzungen nach §11 BDSG erfüllt sein, um den Schutz der personenbezogenen Daten sicherzustellen.

Auf europäischer Ebene sind die Planungen zum Erlass einer Verordnung zum Datenschutz weit fortgeschritten (EU-Datenschutzgrundverordnung). Die Bestimmungen zum Datenschutz sollen damit in ganz Europa einheitlich ausgestaltet werden. Relevant für das Thema Smart Buildings ist besonders die Einführung des geplanten Grundsatzes Privacy by Design. Demnach müssen Hersteller von technischen Geräten bereits bei der Herstellung darauf achten, dass die Geräte zukünftig datenschonend ausgestaltet sind.